Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Samuel Dralet, ATLAB : De nombreuses vulnérabilités pourraient être évitées par une meilleure formation à la sécurité

mars 2009 par Marc Jacob

ATLAB est le pôle sécurité d’Atheos. Cette société est spécialisée dans les audits techniques de sécurité. Elle développe ses propres outils au sein de son équipe de R&D. Samuel Dralet,responsable technique d’ATLAB considère que de nombreuses failles de sécurité pourraient être évitées par une meilleure formation à la sécurité des équipes.

GSM : Pouvez-vous nous présenter votre entreprise ?

Samuel Dralet : ATLAB est le pôle audit d’Atheos, société avec un effectif de près de 90 experts au 1er mars 2009. Notre politique de références actives, nous a permis de réaliser une croissance organique en 2008 de plus de 35%.

ATLAB couvre tous les besoins d’audit techniques de sécurité de nos clients : de missions d’audits à la recherche de preuve ou bien l’accompagnement pour des missions de contrôle permanent....
Nos clients nous demandent aussi d’auditer leurs partenaires et prestataires (monétique IP, externalisation des envois de mails, étanchéité de communautés d’industriels..).

Au delà de l’expertise d’ATheos sur l’IAM, ATLAB s’appuie sur des experts capables de participer à des travaux de R&D appliqués sur des sujets susceptibles d’être d’actualité.

GSM : Quels sont vos domaines d’expertises ?

Samuel Dralet : Nous concentrons notre activité autour des audits techniques, des tests d’intrusion et des investigations informatiques. Cette activité est valorisée par un travail de fond en recherche et développement axé essentiellement autour de la sécurité offensive : analyse et exploitation de vulnérabilités, étude des nouvelles menaces informatiques (vol de données sur les téléphones portables, risques associés à la virtualisation, vulnérabilités des systèmes RFID ou encore étanchéité des ERP), etc.

GSM : Dans le domaine du test d’intrusion, utilisez-vous des outils du marché ou avez-vous conçu vos propres outils ?

Samuel Dralet : Si par outils du marché, vous entendez « Outils de recherche automatique de vulnérabilités », alors non nous n’en utilisons jamais. Principalement pour deux raisons :

  Nos clients eux–mêmes utilisent ces outils. Nous intervenons alors pour analyser ce que ces outils ne sont pas capables de faire.
  Nous préférons avoir une totale confiance des outils utilisés lors de nos audits. Ces outils sont donc soit des outils Open Source disponibles sur Internet (donc il est possible d’analyser le code source), soit des outils développés par l’équipe d’ATLAB.

Notre travail itératif d’améliorations est essentiel et nous permet d’adapter nos outils à chaque cas client.

GSM : De combien de personnes est composé votre équipe de Forensic et quels sont ces domaines de prédilection ?

Samuel Dralet : Tout dépend en fait des besoins du client et de l’urgence de notre intervention.

S’il s’agit de récupération de données et de recherche de preuves informatiques (documents informatiques effacés par ex.), nous avons un pool d’une dizaine d’experts.

S’il s’agit de détection de compromission, alors c’est toute l’équipe qui est concernée. La détection de compromission nécessite en effet de connaitre les attaques informatiques existantes et cette connaissance, l’équipe l’acquiert justement pendant son activité de R&D.

Nous avons développé récemment un outil de détection de compromission sur postes de travail Windows pour les besoins d’un de nos clients. Des connaissances en analyse mémoire, sur le noyau Windows ou encore sur le système de fichiers NTFS ont été nécessaires. Pas moins de 6 personnes sont de ce fait intervenues dans ce développement.

GSM : Quel est votre cible de clientèle ?

Samuel Dralet : Il n’y a pas une cible particulière de clientèle. Nous intervenons auprès de PDG, RSSI, Responsable technique dans des domaines d’activité tout aussi diverses comme l’industrie, le domaine bancaire, etc. Mais il est difficile d’en parler car dans la plupart des cas, nos clients ne souhaitent pas évoquer leurs audits pour des raisons de confidentialité.

GSM : N’est-ce pas alors un problème pour le développement de votre activité ?

Samuel Dralet : Non pas forcément. Les clients discutent beaucoup entre eux. Et si notre travail a été satisfaisant, ils n’hésitent pas à nous recommander auprès de leurs confrères. C’est alors pour nous une réelle satisfaction que d’avoir la confiance et le soutien de nos clients.

Qui plus est, les prospects ont souvent eu échos de nos travaux et de nos participations à des séminaires (par exemple : petit déjeuner, table ronde au FIC2009 ou intervention au SSTIC 2009).

Nos travaux sont une réelle carte de visite indiquant notre expertise technique.

GSM : Quel est votre message à nos lecteurs ?

Samuel Dralet : Au delà du fait que nous sommes à leur disposition pour leur présenter nos travaux de recherches, nous souhaitons attirer leur attention sur la nécessite de former régulièrement leurs équipes.

Par exemple, il est essentiel que les développeurs d’applications web intègrent les risques et les méthodes d’attaques des pirates. Nous considérons que de nombreuses failles de sécurité pourraient ainsi être évitées, permettant alors d’optimiser les dépenses de sécurité sur la recherche de failles plus techniques.

Nous rappelons que selon l’étude BERR « 2008 Information Security Breaches Survey » de PWC, moins de 17 % des entreprises s’attendent à avoir moins d’incident de sécurité cette année par rapport à l’année précédente.

D’autre part, certaines architectures semblent extrêmement complexes mais n’empêchent pas la présence de vulnérabilités rendant cette forteresse vulnérable.

Un point préoccupant, nous avons eu en 2009 deux cas de malversations effectués par des salariés (dont l’un avec plus de 15 ans d’ancienneté) dont l’entreprise venait de se séparer. Heureusement le préjudice fut à chaque fois relativement limité.

La sensibilisation des équipes et des salariés est donc toujours une priorité : la « culture de la sécurité »…


Voir les articles précédents

    

Voir les articles suivants